一种信息终端威胁监测方法、装置、设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种信息终端威胁监测方法、装置、设备及存储介质。

背景技术

目前针对信息终端的检测技术，通常是单独利用信息域信息的异常检测技术或只利用物理域数据的攻击检测技术，但信息域的攻击检测方法目前通常被认为存在低误报率和低漏报率难以兼顾的情况，且电力关键信息终端分属于各个大区，信息域各区之间有隔离，用于异常检测的信息之间相对独立，交互受限，因此单独采用信息域信息进行异常检测会带来不够全面的风险。对于物理域，信息终端设备海量异构，且系统相对封闭，缺少相应的异常检测机制，同时在没有全面分析攻击链路在信息域和物理域各个环节传播的情况下，单独使用物理域信息进行异常检测可能面临漏报率高、检测不够及时等挑战。

因此，现有技术中对于单终端的威胁检测方式局限性较大，检测不够全面及时、漏报率高。

发明内容

本申请提供了一种信息终端威胁监测方法、装置、设备及存储介质，能够使得威胁监测更加全面和及时，并降低检测结果的漏报率。

第一方面，本申请实施例提供了一种信息终端威胁监测方法，包括：

获取信息终端上一时刻的第一多模态数据和当前时刻的第二多模态数据；

将第一多模态数据输入训练好的预测模型中，得到预测结果，其中，预测结果是对当前时刻的信息终端正常运行时的多模态数据的预测；

计算预测结果和第二多模态数据的误差；

基于误差得到第二多模态数据的第一检测结果；

获取信息终端当前时刻的多个感知信号；

对各感知信号进行异常检测，得到第二检测结果；

根据第一检测结果和第二检测结果得到威胁监测结果。

进一步的，多模态数据包括信息终端的流量数据、日志数据、功耗数据和电磁辐射数据。

进一步的，该方法还包括：

获取信息终端正常运行时的训练多模态数据；

对训练多模态数据划分时间窗格，得到表征信号；

采用时序统计分析法对表征信号进行处理，得到筛选特征；

基于筛选特征训练初始神经网络，得到训练好的预测模型。

进一步的，初始神经网络为长短记忆单元神经网络。

进一步的，该方法还包括：

在得到筛选特征后，将其输入随机森林分类器，得到目标特征；

对目标特征采用启发式搜索，得到特征子集；

基于特征子集训练初始神经网络，得到训练好的预测模型。

进一步的，上述基于误差得到第二多模态数据的第一检测结果，包括：

若误差大于第一预设阈值，则第一检测结果为异常，否则为正常。

进一步的，多个感知信号包括信息终端中的各类传感器采集到的传感信号。

进一步的，上述对各感知信号进行异常检测，得到第二检测结果，包括：

提取各感知信号对应的情景指纹；

计算各情景指纹的相似度；

若相似度大于第二预设阈值，则第二检测结果为正常，否则为异常。

进一步的，上述提取各感知信号对应的情景指纹，包括：

获取感知信号对应的事件信息熵；

提取事件信息熵中的多个关键事件特征；

将各关键事件特征输入训练好的排序模型中，得到特征向量；

将特征向量作为感知信号对应的情景指纹。

进一步的，该方法还包括：

对误差和相似度分别进行标准化处理；

根据预设权重系数对误差和相似度进行加权计算；

若加权计算的结果大于第三预设阈值，则威胁监测结果为异常。

进一步的，上述根据第一检测结果和第二检测结果得到威胁监测结果，包括：

若第一检测结果或第二检测结果为异常，则威胁监测结果为异常。

进一步的，该方法还包括：

在第一检测结果为异常时，获取第一多模态数据中第一流量数据的多个第一流量地址，和第二多模态数据中第二流量数据的多个第二流量地址；

确定各第二流量地址中在各第一流量地址中不存在的异常流量地址；

将异常流量地址发送到信息终端的显示界面。

第二方面，本申请实施例提供了一种信息终端威胁监测装置，包括：

多模态数据获取模块，用于获取信息终端上一时刻的第一多模态数据和当前时刻的第二多模态数据；

预测模块，用于将第一多模态数据输入训练好的预测模型中，得到预测结果，其中，预测结果是对当前时刻的信息终端正常运行时的多模态数据的预测；

误差计算模块，用于计算预测结果和第二多模态数据的误差；

第一检测模块，用于基于误差得到第二多模态数据的第一检测结果；

感知信号获取模块，用于获取信息终端当前时刻的多个感知信号；

第二检测模块，用于对各感知信号进行异常检测，得到第二检测结果；

结果确定模块，用于根据第一检测结果和第二检测结果得到威胁监测结果。

进一步的，该装置还包括：

训练数据获取模块，用于获取信息终端正常运行时的训练多模态数据；

表征划分模块，用于对训练多模态数据划分时间窗格，得到表征信号；

筛选模块，用于采用时序统计分析法对表征信号进行处理，得到筛选特征；

第一训练模块，用于基于筛选特征训练初始神经网络，得到训练好的预测模型。

进一步的，该装置还包括：

分类模块，用于在得到筛选特征后，将其输入随机森林分类器，得到目标特征；

搜索模块，用于对目标特征采用启发式搜索，得到特征子集；

第二训练模块，用于基于特征子集训练初始神经网络，得到训练好的预测模型。

进一步的，第一检测模块用于在误差大于第一预设阈值时，确定第一检测结果为异常，否则为正常。

进一步的，第二检测模块用于提取各感知信号对应的情景指纹，并计算各情景指纹的相似度；在相似度大于第二预设阈值时，确定第二检测结果为正常，否则为异常。

进一步的，结果确定模块用于在第一检测结果或第二检测结果为异常时，确定威胁监测结果为异常。

第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时执行如上述任一实施例的信息终端威胁监测方法的步骤。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如上述任一实施例的信息终端威胁监测方法的步骤。

综上，与现有技术相比，本申请实施例提供的技术方案带来的有益效果至少包括：

本申请实施例提供的一种信息终端威胁监测方法，基于上一时刻的第一多模态数据对当前时刻进行预测，并将预测结果和当前时刻的第二多模态数据进行误差计算，得到第一检测结果；基于情景一致性方法对当前时刻的多个感知信号进行检测，得到第二检测结果；通过对当前时刻的多模态数据和感知信号的检测，使得威胁监测更加全面及时；通过结合两种数据对应的检测结果来确定最终的威胁监测结果，降低了检测的漏报率。

附图说明

图1为本申请一个示例性实施例提供的一种信息终端威胁监测方法的流程图。

图2为本申请一个示例性实施例提供的预测模型训练步骤的流程图。

图3为本申请一个示例性实施例提供的情景一致性判断步骤的流程图。

图4为本申请一个示例性实施例提供的威胁监测结果确定步骤的流程图。

图5为本申请一个示例性实施例提供的一种信息终端威胁监测装置的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。

基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参见图1，本申请实施例提供了一种信息终端威胁监测方法，包括：

步骤S11，获取信息终端上一时刻的第一多模态数据和当前时刻的第二多模态数据。

其中，多模态数据包括信息终端的流量数据、日志数据、功耗数据和电磁辐射数据。

步骤S12，将第一多模态数据输入训练好的预测模型中，得到预测结果。

其中，预测结果是对当前时刻的信息终端正常运行时的多模态数据的预测。

步骤S13，计算预测结果和第二多模态数据的误差。

步骤S14，基于误差得到第二多模态数据的第一检测结果。

具体地，可直接判断误差和第一预设阈值的大小关系：若误差大于第一预设阈值，则第一检测结果为异常，否则为正常。设误差为

其中，

进一步的，为了降低第一预设阈值的主观性，还可以先计算历史时刻（排除当前时刻）的多模态数据之间的误差值，得到历史误差最小值和历史误差最大值；若误差和历史误差最大值之间的差距大于历史误差最小值，则判断第一检测结果异常。

步骤S15，获取信息终端当前时刻的多个感知信号。

其中，多个感知信号包括信息终端中的各类传感器采集到的传感信号；进一步的，不仅可以将传感信号作为感知信号，还可以将信息终端的蓝牙信号、wifi信号等作为感知信号。

步骤S16，对各感知信号进行异常检测，得到第二检测结果。

通过利用同一时间、空间下，信息终端中多维感知信号中内含的感知情境一致性来对信息终端的物理状态进行异常检测。虽然信息终端的多维感知信号的输出模态存在差异，但是这些感知信号经过特征提取后对于情境内容的感知是相似的，可以利用情境一致性实现异常检测。

步骤S17，根据第一检测结果和第二检测结果得到威胁监测结果。

其中，多模态数据为信息终端的信息层的数据，多个感知信号为信息终端的物理层的数据；第一检测结果是对当前时刻的第二多模态数据是否异常的检测结果，第二检测结果是对当前时刻的多个感知信号是否存在异常的检测结果；将对信息层和物理层的检测结果综合进行诊断，保证威胁监测结果的准确性同时降低了漏报率。

具体地，可以通过对第一检测结果和第二检测结果进行或运算，来确定威胁监测结果：若第一检测结果或第二检测结果为异常，则威胁监测结果为异常。

进一步的，还可通过对第一检测结果和第二检测结果进行与运算，来确定威胁监测结果：若第一检测结果和第二检测结果均为异常，则威胁监测结果为异常。

值得注意的是，上述步骤编号只为区分各个步骤，不作为限定步骤实施的具体顺序，在实际实施过程中，步骤S11-S14和步骤S15-S16可以并行执行。

上述实施例提供的一种信息终端威胁监测方法，基于上一时刻的第一多模态数据对当前时刻进行预测，并将预测结果和当前时刻的第二多模态数据进行误差计算，得到第一检测结果；基于情景一致性方法对当前时刻的多个感知信号进行检测，得到第二检测结果；通过对当前时刻的多模态数据和感知信号的检测，使得威胁监测更加全面及时；通过结合两种数据对应的检测结果来确定最终的威胁监测结果，降低了检测的漏报率。

请参见图2，在一些实施例中，该方法还可以包括：

步骤S21，获取信息终端正常运行时的训练多模态数据。

其中，训练多模态数据包括信息终端多个连续时刻的多模态数据。

步骤S22，对训练多模态数据划分时间窗格，得到表征信号。

其中，时间窗格的长度可以由人为定义，也可以采用信息终端默认的长度。

步骤S23，采用时序统计分析法对表征信号进行处理，得到筛选特征。

具体地，使用时序统计分析方法能够对表征信号抽象出表达能力更强的筛选特征。

步骤S24，基于筛选特征训练初始神经网络，得到训练好的预测模型。

其中，初始神经网络为长短记忆单元神经网络。

具体地，基于长短记忆单元（LSTM）的神经网络模型克服了递归神经网络中的梯度消失和梯度爆炸问题，凭借LSTM对长期信息良好的记忆能力，擅长于捕捉时间序列的内部结构信息，从而能够在不同时间尺度上进行时间序列的预测，并能很好的拟合原来的时间序列信息。

因此，本申请运用LSTM的时间序列预测的能力来实现信息终端多模态数据的预测。

在具体实施过程中，对于一个筛选特征

进一步的，该方法还可以包括：

在得到筛选特征后，将其输入随机森林分类器，得到目标特征。

对目标特征采用启发式搜索，得到特征子集。

基于特征子集训练初始神经网络，得到训练好的预测模型。

其中，随机森林分类器是利用多棵树对样本进行训练并预测的一种分类器，其输出的类别是由个别树输出的类别的众数而定的，因此本申请采用的随机森林分类器能够对筛选特征的有效性进行衡量，从而选择出特征重要性高的目标特征；再使用启发式搜索建立特征子集，能够加快模型的训练预测速度，提高检测准确率。

在一些实施例中，上述对各感知信号进行异常检测，得到第二检测结果，包括：

步骤S161，提取各感知信号对应的情景指纹。

步骤S162，计算各情景指纹的相似度。

步骤S163，若相似度大于第二预设阈值，则第二检测结果为正常，否则为异常。

请参见图3，本申请的情境一致性判断主要是采用相似度比较算法，检测不同感知信号生成情境指纹的相似度，如果相似度满足一定的阈值要求，则判断信息终端未出现异常，若不满足相应的阈值要求，则判断为信息终端异常。

具体地，上述提取各感知信号对应的情景指纹，包括：

步骤S1611，获取感知信号对应的事件信息熵。

一般来说，信号的信息熵可以通过概率分布来计算，例如对于离散信号序列，可以通过统计各个符号出现的概率来计算信息熵，对于连续信号，可以对信号进行分段，对每个分段进行熵计算，最后取平均值作为整个连续信号的熵。

步骤S1612，提取事件信息熵中的多个关键事件特征。

具体地，根据事件信息熵可以得到每个感知信号的信号增益或信号增益率，选取信号增益或信号增益率大于一定阈值的信号的信息熵作为关键事件特征。

步骤S1613，将各关键事件特征输入训练好的排序模型中，得到特征向量。

步骤S1614，将特征向量作为感知信号对应的情景指纹。

其中，排序模型可以选择RankSVM（排序支持向量机）来构建，将采集的感知信号训练特征和结合先验知识对训练特征的重要分析输入模型中训练，使得训练好的排序模型能够对特征的重要性进行排序，建立用于描述事件特征的特征向量，作为生成的情境指纹。

上述基于情景一致性的感知信号检测，弥补了现有技术中对信号中断物理域异常检测机制的缺少，实现了对信息终端物理状态的威胁监测，提高了检测的全面性，降低了漏报率。

请参见图4，在一些实施例中，该方法还包括：

步骤S31，对误差和相似度分别进行标准化处理。

其中，误差为正向指标，即误差越大，结果异常的可能性越大；而相似度为逆向指标，即相似度越小，结果异常的可能性越大，因此需对两种指标进行标准化处理，不仅要使误差和相似度的度量一致，还要将相似度通过取倒数等方式转换为正向指标。

步骤S32，根据预设权重系数对误差和相似度进行加权计算。

其中，预设权重系数包括误差对应的第一权重系数和相似度对应的第二权重系数；标准化处理后的误差和相似度分别和对应的权重系数相乘再相加，得到加权计算的结果。

步骤S33，若加权计算的结果大于第三预设阈值，则威胁监测结果为异常。

上述实施例给出了另一种基于加权算法的异常判别手段，使得检测结果能够更加精准。

在一些实施例中，该方法还包括：

步骤S41，在第一检测结果为异常时，获取第一多模态数据中第一流量数据的多个第一流量地址，和第二多模态数据中第二流量数据的多个第二流量地址。

步骤S42，确定各第二流量地址中在各第一流量地址中不存在的异常流量地址。

步骤S43，将异常流量地址发送到信息终端的显示界面。

具体地，在检测到信息终端的多模态数据出现异常后，可通过检测当前时刻的第二多模态数据中的第二流量数据，来判断相比于上一时刻不同的流量地址有哪些，并将上一时刻没有的流量地址作为异常流量地址显示在终端上，以便工作人员排查。

请参见图5，本申请另一实施例提供了一种信息终端威胁监测装置，包括：

多模态数据获取模块101，用于获取信息终端上一时刻的第一多模态数据和当前时刻的第二多模态数据。

预测模块102，用于将第一多模态数据输入训练好的预测模型中，得到预测结果，其中，预测结果是对当前时刻的信息终端正常运行时的多模态数据的预测。

误差计算模块103，用于计算预测结果和第二多模态数据的误差。

第一检测模块104，用于基于误差得到第二多模态数据的第一检测结果。

感知信号获取模块105，用于获取信息终端当前时刻的多个感知信号。

第二检测模块106，用于对各感知信号进行异常检测，得到第二检测结果。

结果确定模块107，用于根据第一检测结果和第二检测结果得到威胁监测结果。

进一步的，该装置还包括：

训练数据获取模块，用于获取信息终端正常运行时的训练多模态数据。

表征划分模块，用于对训练多模态数据划分时间窗格，得到表征信号。

筛选模块，用于采用时序统计分析法对表征信号进行处理，得到筛选特征。

第一训练模块，用于基于筛选特征训练初始神经网络，得到训练好的预测模型。

进一步的，该装置还包括：

分类模块，用于在得到筛选特征后，将其输入随机森林分类器，得到目标特征。

搜索模块，用于对目标特征采用启发式搜索，得到特征子集。

第二训练模块，用于基于特征子集训练初始神经网络，得到训练好的预测模型。

进一步的，第一检测模块104用于在误差大于第一预设阈值时，确定第一检测结果为异常，否则为正常。

进一步的，第二检测模块106用于提取各感知信号对应的情景指纹，并计算各情景指纹的相似度；在相似度大于第二预设阈值时，确定第二检测结果为正常，否则为异常。

进一步的，结果确定模块107用于在第一检测结果或第二检测结果为异常时，确定威胁监测结果为异常。

本实施例中提供的关于一种信息终端威胁监测装置的具体限定，可以参见上文中关于一种信息终端威胁监测方法的实施例，于此不再赘述。上述一种信息终端威胁监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

本申请实施例提供了一种计算机设备，该计算机设备可以包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。处计算机程序被处理器执行时，使得处理器执行如上述任一实施例的一种信息终端威胁监测方法的步骤。

本实施例提供的计算机设备的工作过程、工作细节和技术效果，可以参见上文中关于一种信息终端威胁监测方法的实施例，于此不再赘述。

本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如上述任一实施例的一种信息终端威胁监测方法的步骤。其中，所述计算机可读存储介质是指存储数据的载体，可以但不限于包括软盘、光盘、硬盘、闪存、优盘和/或记忆棒(Memory Stick)等，所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。本实施例提供的计算机可读存储介质的工作过程、工作细节和技术效果，可以参见上文中关于一种信息终端威胁监测方法的实施例，于此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。